OpenAI посилює безпеку своїх застосунків для macOS після виявлення уразливості, пов’язаної з популярною бібліотекою Axios. Компанія повідомила, що сторонній компонент, який використовується в низці її програм, зазнав компрометації, що змусило розробників впровадити додаткові захисні заходи.
Про це розповідає ProIT
Оновлення для користувачів macOS та рекомендації OpenAI
За інформацією OpenAI, наразі не зафіксовано жодних ознак витоку особистих даних користувачів, компрометації систем чи інтелектуальної власності. Водночас компанія рекомендує користувачам macOS якомога швидше оновити свої застосунки до останніх версій, аби мінімізувати ризики використання підробленого програмного забезпечення.
«За даними OpenAI, ознак витоку даних користувачів, компрометації систем або інтелектуальної власності не виявлено. Також немає свідчень того, що сторонні отримали доступ до внутрішніх ресурсів або змінили роботу програмного забезпечення».
Деталі інциденту та усунення наслідків
Інцидент відбувся після того, як 31 березня було змінено бібліотеку Axios. Під час розробки інструмент GitHub Actions завантажив і виконав змінену версію, яка потенційно могла отримати доступ до сертифікатів, що використовуються для підпису застосунків ChatGPT Desktop, Codex, Codex-cli та Atlas. Додатковий аналіз засвідчив, що підписувальні ключі, ймовірно, не були скомпрометовані шкідливим програмним кодом.
OpenAI оголосила, що старі версії десктопних застосунків для macOS, випущені до 8 березня, більше не отримуватимуть оновлень і згодом можуть втратити працездатність. При цьому паролі та API-ключі користувачів залишилися захищеними. Причиною інциденту визнано некоректну конфігурацію GitHub Actions, яку вже виправили, а сертифікати безпеки оновили для додаткового захисту.